Ciao,
abbiamo riscontrato che creando un utente è possibile lasciare la password nulla anche se nella configurazione è stato impostato un minimo di 8 carratteri alfanumerici.
Inoltre nel database, tabella core_user il campo pass viene settato a d41d8cd98f00b204e9800998ecf8427e (md5 di "") permettendo il login senza inserire alcuna passoword, mentre il campo pass del db dovrebbe essere completamente vuoto.

Abbiamo introdotto una patch correttiva, che al momento non fornisce all'utente  alcun messeggio di errore .

File interessati: doceboCore/lib/lib.aclmanager.php

Linee: 384 – 387

      if($pass=="")
         return FALSE;